Indice dei contenuti
Molti di voi hanno quasi sicuramente letto delle diatribe, accese principalmente da Durov (il CEO di Telegram), tra Telegram e Signal. In breve Durov ha fatto alcune accuse pesanti a Signal sia per quel che riguarda i finanziamenti sia per quel che riguarda la sicurezza, qui la discussione sul nostro forum se volete partecipare. In giro s’è letto di tutto e di più e per la maggior parte delle volte abbiamo visto solo titoli clickbait e articoli un po’ sconclusionati con qualche eccezione.
Detto francamente le accuse di Durov ci sono sembrate piuttosto insensate, soprattutto per il fatto che arrivino da lui, e non fanno altro che alimentare il clima di indecisione e di tensione che spesso è presente quando si parla di privacy e sicurezza. Un po’ come avevamo visto, di recente, con Proton.
Signal vs. Telegram: un punto di vista equilibrato
•Abbiamo però trovato un bel punto di vista anche piuttosto equilibrato in un post pubblicato da Threema. Esatto, una delle alternative a WhatsApp e Signal ha voluto dire la sua su questo scontro e bisogna ammettere che l’ha fatto con eleganza e lucidità.
Il nostro punto di vista probabilmente già lo conoscete: Telegram è un un’applicazione di messaggistica in cloud, non c’è quasi nulla di crittografato end-to-end non è nemmeno da considerare un’alternativa a WhatsApp e Signal ma una cosa del tutto diversa e che può convivere con questi. Per questo motivo noi la suggeriamo e per questo motivo la utilizziamo: come social network per Le Alternative, come gruppo pubblico e poco altro. Non andrebbe utilizzata per conversazioni private se non con le chat private che però sono scomode e difficilmente utilizzabili.
Threema è invece una vera e propria alternativa a WhatsApp e a Signal. Ha anche lei dei difetti, così come li ha Signal, ma è sicuramente una concorrente sicura e privata. Signal è più comunitaria ed è più facile trovare persone che la utilizzino, Threema è invece a pagamento e convincere qualcuno a usarla può essere molto complesso.
Il punto di vista di Threema
Ma torniamo al punto centrale dell’articolo ovvero il post che Threema ha pubblicato di recente.
Some of the accusations seem to be so far-fetched and outlandish that most people probably dismiss them as conspiracy theory or FUD tactic right away. And while it’s certainly wise to remain skeptical towards implausible claims, it’s still worth bearing in mind that there are, in fact, multiple instances where supposedly secure communication services were infiltrated or run by government agencies without users noticing it. For example, ANOM, Crypto AG, and EncroChat.
Threema
Uno dei punti dell’articolo ci trova molto d’accordo, ve lo traduciamo:
Come chiunque abbia dimestichezza con le comunicazioni sicure dovrebbe essere in grado di capire, Telegram non può essere considerato neanche lontanamente sicuro secondo gli attuali standard del settore. Si tratta principalmente di un cloud messenger, il che significa che i messaggi sono memorizzati in modo permanente su un server, non sono crittografati end-to-end e possono essere letti da Telegram in qualsiasi momento.
È possibile attivare la Crittografia end-to-end solo nelle singole chat. Signal, invece, è ampiamente rispettata per la sua crittografia (ed è stata la seconda app di messaggistica multi-piattaforma a offrire una Crittografia end-to-end coerente, dopo Threema). Tuttavia, Durov sostiene che i messaggi di Signal di “persone importanti” con cui ha parlato sono stati sfruttati nei tribunali o nei media statunitensi (probabilmente si riferisce a Tucker Carlson, che ha recentemente intervistato Durov e che in precedenza aveva dichiarato che l’NSA era entrata nel suo account Signal).
Tuttavia, storie del genere circolano su quasi tutte le app di chat sicure. Nei casi effettivamente veri, le autorità sono state molto probabilmente in grado di ottenere l’accesso fisico a un dispositivo mobile, che potrebbe anche essere il dispositivo di uno dei partner di chat dell’obiettivo. Nei casi di alto profilo, è ovviamente possibile che il dispositivo dell’obiettivo sia stato infettato da spyware a livello di sistema operativo, nel qual caso l’intero dispositivo è compromesso e la sicurezza di qualsiasi app in esecuzione su di esso (inclusi Signal, Telegram e Threema) va a farsi benedire. Le affermazioni di Durov sulla sicurezza di Signal non vanno quindi prese sul serio. Tuttavia, l’autore solleva altri due punti che meritano di essere menzionati.
Threema
I punti sollevati da Durov
I punti interessanti sollevati da Durov sono il fatto che la stessa crittografia di Signal è implementata in WhatsApp, Facebook Messenger, Google Messages e Skype. Negli Stati Uniti non esiste praticamente nessuna applicazione di messaggistica che utilizzi una crittografia differente se escludiamo Apple iMessage, che Durov ha casualmente dimenticato. Threema fa notare che questo tipo di monocultura non è del tutto l’ideale ma allo stesso tempo nemmeno “lanciare una propria crittografia” è del tutto consigliato dagli esperti e affidarsi a una crittografia stabile, certificata e valida ha più senso rispetto al reinventare la ruota.
Il secondo punto sono le build riproducibili su Android e iOS. Signal le ha solamente su Android mentre Telegram le ha in entrambi i sistemi operativi. Il problema però è che iOS non permette le build riproducibili come Android e Telegram si è inventato un modo tutto suo e che funziona solo su determinati dispositivi. Si può dire sostanzialmente che ha hackerato il sistema Apple per poter fare questa cosa, quindi tanto di cappello a Telegram su questo ma non si può accusare Signal di non farlo perché banalmente su iOS non è permesso.
Signal vs Telegram: servizi di messaggistica a confronto
Tuttavia, quando si tratta di confrontare i servizi di messaggistica, i casi sono raramente così chiari come in questo caso. Come dimostra qualsiasi confronto tra messaggeri, esiste un’ampia gamma di aspetti che incidono sulla sicurezza complessiva e sulla protezione della privacy di un servizio di comunicazione. E anche il confronto più completo può elencare solo una selezione relativamente piccola di aspetti rilevanti.
Inoltre, è la combinazione di alcuni fattori a fare la differenza nella pratica. Ad esempio, le build riproducibili giocano improvvisamente un ruolo molto importante se un servizio ha sede in un Paese in cui gli sviluppatori potrebbero essere costretti dal governo a introdurre backdoor nel loro software senza rivelarlo.
Threema
Legami con il governo e rapporti sulla trasparenza
Qui c’è forse una delle parti più interessanti della lettera di Threema. Durov afferma che Signal ha ricevuto 3 milioni di dollari dalla Open Technology Fund. Ma questo non è in alcun modo rilevante oggi come oggi anche considerando il fatto che Brian Acton, cofondatore di WhatsApp e di Signal, ha investito oltre 100 milioni di dollari in Signal.
Allo stesso modo non si capisce a cosa si riferisca Whittaker, la CEO di Signal che ha risposto a Durov, quando dice che “Telegram collabora abitualmente con i governi dietro le quinte“. Se intende solo situazioni in cui Telegram ha dovuto conformarsi alle leggi esistenti non è un argomento rilevante da discutere. Se invece avesse informazioni riservate a riguardo sarebbe importante condividerle con la comunità.
La parte interessante è che, secondo Threema, nessuno dei due tuttavia fornisce rapporti di trasparenza degni di questo nome. Quello di Telegram è regionale, accessibile solo tramite la loro applicazione e non restituisce risultati per la Svizzera o altri paesi.
Signal invece ha un rapporto di trasparenza accessibile pubblicamente ma sembra molto incompleto e non aggiornato. Contiene solo cinque voci, l’ultima delle quali risalente al 2021. Se confrontato con quello di Threema (170 richieste nel 2023) o di Proton (6.378 richieste nel 2023) fa capire che è semplicemente impossibile che ci siano state solo cinque richieste governative in dieci anni.
Secondo Threema poiché Signal ha sede negli Stati Uniti, è possibile che abbia ricevuto un’ordinanza che gli impedisce di divulgare o pubblicare determinate informazioni. Questo, aggiungiamo noi, non vuol dire che siano in possesso di informazioni riservate come sostiene Durov ma solo che potrebbero semplicemente non essere abilitati a pubblicare informazioni.
E se non ci sono dati rilevanti da condividere?
Una facile obiezione è che ha poca importanza rivelare i casi se non ci sono dati da ottenere. Signal infatti non ha quasi nessun dato a disposizione ma secondo Threema anche questa affermazione può non essere del tutto condivisibile in quanto anche la semplice condivisione dei log delle notifiche push anche se sono crittografate può essere molto utile. Ma questo, aggiungiamo noi, è una cosa che dovrebbe condividere Google (come è già successo in passato (Archive) e non dovrebbe c’entrare con Signal.
•Questo tag @lealternative serve a inviare automaticamente questo post su Feddit e permettere a chiunque sul fediverso di commentarlo.
Se l'articolo ti è piaciuto puoi parlarne su Feddit. Feddit fa parte del Fediverso, interagisci con Mastodon, Friendica o altre realtà del Fediverso!
In alternativa vieni a trovarci su Le Alternative | Forum!
Unisciti alle comunità
